Amazon CloudWatch Logs
Guia do usuário

Referência de permissões do CloudWatch Logs

Ao configurar o Controle de acesso e escrever políticas de permissões que você pode anexar a uma identidade do IAM (políticas com base em identidade), você pode usar a tabela a seguir como referência. A tabela lista cada operação da API do CloudWatch Logs e as ações correspondentes para as quais você pode conceder permissões para executar a ação. Você especifica as ações no campo Action da política e especifica um caractere curinga (*) como o valor do recurso no campo Resource da política.

Você pode usar as chaves de condição em toda a AWS nas políticas do CloudWatch Logs para expressar condições. Para obter uma lista completa das chaves de toda a AWS, consulte Chaves de contexto globais do AWS e de condição do IAM no Guia do usuário do IAM.

nota

Para especificar uma ação, use o prefixo logs: seguido do nome da operação da API. Por exemplo: logs:CreateLogGroup, logs:CreateLogStream ou logs:* (para todas as ações do CloudWatch Logs).

Operações de API do CloudWatch Logs e permissões necessárias para ações

CloudWatch LogsOperações de API Permissões necessárias (Ações da API)

CancelExportTask

logs:CancelExportTask

Necessária para cancelar uma tarefa de exportação pendente ou em execução.

CreateExportTask

logs:CreateExportTask

Necessária para exportar dados de um grupo de logs para um bucket do Amazon S3.

CreateLogGroup

logs:CreateLogGroup

Necessária para criar um novo grupo de logs.

CreateLogStream

logs:CreateLogStream

Necessária para criar um novo stream de logs em um grupo de logs.

DeleteDestination

logs:DeleteDestination

Necessária para excluir um destino de log e desativar seus filtros de assinatura.

DeleteLogGroup

logs:DeleteLogGroup

Necessária para excluir um grupo de logs e eventos de log arquivados associados.

DeleteLogStream

logs:DeleteLogStream

Necessária para excluir um stream de logs e eventos de log arquivados associados.

DeleteMetricFilter

logs:DeleteMetricFilter

Necessária para excluir um filtro de métrica associado a um grupo de logs.

DeleteRetentionPolicy

logs:DeleteRetentionPolicy

Necessária para excluir uma política de retenção do grupo de logs.

DeleteSubscriptionFilter

logs:DeleteSubscriptionFilter

Necessária para excluir o filtro de assinatura associado a um grupo de logs.

DescribeDestinations

logs:DescribeDestinations

Necessária para visualizar todos os destinos associado à conta.

DescribeExportTasks

logs:DescribeExportTasks

Necessária para visualizar todas as tarefas de exportação associadas à conta.

DescribeLogGroups

logs:DescribeLogGroups

Necessária para visualizar todos os grupos de logs associados à conta.

DescribeLogStreams

logs:DescribeLogStreams

Necessária para visualizar todos os streams de logs associados a um grupo de logs.

DescribeMetricFilters

logs:DescribeMetricFilters

Necessária para visualizar todas as métricas associadas a um grupo de logs.

DescribeSubscriptionFilters

logs:DescribeSubscriptionFilters

Necessária para visualizar todos os filtros de assinatura associados a um grupo de logs.

FilterLogEvents

logs:FilterLogEvents

Necessária para classificar eventos de log por padrão de filtros de grupos.

GetLogEvents

logs:GetLogEvents

Necessária para recuperar eventos de log a partir de um stream de logs.

ListTagsLogGroup

logs:ListTagsLogGroup

Necessária para listar as tags associadas a um grupo de log.

PutDestination

logs:PutDestination

Necessária para criar ou atualizar um fluxo de log de destino (como um fluxo do Kinesis).

PutDestinationPolicy

logs:PutDestinationPolicy

Necessária para criar ou atualizar uma política de acesso associada a um destino de log existente.

PutLogEvents

logs:PutLogEvents

Necessária para carregar um lote de eventos de log para um stream de log.

PutMetricFilter

logs:PutMetricFilter

Necessária para criar ou atualizar um filtro de métrica e associá-lo a um grupo de logs.

PutRetentionPolicy

logs:PutRetentionPolicy

Necessária para definir o número de dias nos quais manter os eventos de log (retenção) em um grupo de logs.

PutSubscriptionFilter

logs:PutSubscriptionFilter

Necessária para criar ou atualizar um filtro de assinatura e associá-lo a um grupo de logs.

TagLogGroup

logs:TagLogGroup

Obrigatório para adicionar ou atualizar as tags do grupo de logs.

TestMetricFilter

logs:TestMetricFilter

Necessária para testar um padrão de filtro em relação a uma amostra de mensagens de eventos de log.